会话技术--jwt

最新推荐文章于 2024-01-18 18:50:01 发布
最新推荐文章于 2024-01-18 18:50:01 发布
阅读量211 收藏 1
点赞数
文章标签: java 服务器 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43890604/article/details/128884433
版权

Jwt

会话技术

①cookie
缺点:app端无法使用,存储在客户浏览器中不安全。
②session
缺点:服务器集群的状态下无法直接使用session。
③jwt(存在于客户端。可存在于集群中)

Jwt实现

执行流程:
浏览器发出请求,登录成功后,生成jwt,判断身份是否合法。响应数据时,将jwt发给前端。
在后续的每一次请求中,都需要将令牌携带到服务端。如果令牌有效就证明已经登录,失效未登录。
同一次会话的多次请求,共享数据时,将共享的数据存储在令牌中就可以了。

jwt包含的三部分:
三部分:header(加密算法)、载荷(用户信息、过期时间)、签名(防止篡改)

jwt的使用:
①导入依赖

<!--JWT令牌-->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

②导入JwtUtils工具类

public class JwtUtils {

    private static String signKey = "xxx";
    private static Long expire = 43200000L;

    /**
     * 生成JWT令牌
     * @param claims JWT第二部分负载 payload 中存储的内容
     * @return
     */
    public static String generateJwt(Map<String, Object> claims){
        String jwt = Jwts.builder()
                .addClaims(claims)
                .signWith(SignatureAlgorithm.HS256, signKey)
                .setExpiration(new Date(System.currentTimeMillis() + expire))
                .compact();
        return jwt;
    }

    /**
     * 解析JWT令牌
     * @param jwt JWT令牌
     * @return JWT第二部分负载 payload 中存储的内容
     */
    public static Claims parseJWT(String jwt){
        Claims claims = Jwts.parser()
                .setSigningKey(signKey)
                .parseClaimsJws(jwt)
                .getBody();
        return claims;
    }
}

③生成jwt
判断是否登录成功,如果登录成功则生成jwt

@PostMapping("/login")
public Result login(@RequestBody Emp emp){
    Emp e = empService.login(emp);
    //登录成功 发送令牌
    if (e != null){
        Map<String, Object> claims = new HashMap<>();//创建载荷
        claims.put("id", e.getId());
        claims.put("name", e.getName());
        claims.put("username", e.getUsername());

        String jwt = JwtUtils.generateJwt(claims); //jwt令牌包含了当前登录的员工信息
        return Result.success(jwt);
    }
    //用户为空, 返回错误信息
    return Result.error("用户名或密码错误");
}

④定义拦截器

@WebFilter(urlPatterns = "/*")
public class DemoFilter implements Filter{
    @Override //初始化方法, 只调用一次
    public void init(FilterConfig filterConfig) throws ServletException {
        System.out.println("init 初始化方法执行了");
    }

    @Override //拦截到请求之后调用, 调用多次
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        System.out.println("Demo 拦截到了请求...放行前逻辑");
        //放行
        chain.doFilter(request,response);

        System.out.println("Demo 拦截到了请求...放行后逻辑");
    }

    @Override //销毁方法, 只调用一次
    public void destroy() {
        System.out.println("destroy 销毁方法执行了");
    }
}

因为拦截器是servlet技术,需要在启动类中添加注解

@ServletComponentScan //开启了对servlet组件的支持

⑤filter登录校验

@Slf4j
@WebFilter(urlPatterns = "/*")
public class LoginCheckFilter implements Filter {
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse resp = (HttpServletResponse) response;

        //1.获取请求url。
        String url = req.getRequestURL().toString();
        log.info("请求的url: {}",url);

        //2.判断请求url中是否包含login,如果包含,说明是登录操作,放行。
        if(url.contains("login")){
            log.info("登录操作, 放行...");
            chain.doFilter(request,response);
            return;
        }

        //3.获取请求头中的令牌(token)。
        String jwt = req.getHeader("token");

        //4.判断令牌是否存在,如果不存在,返回错误结果(未登录)。
        if(!StringUtils.hasLength(jwt)){
            log.info("请求头token为空,返回未登录的信息");
            Result error = Result.error("NOT_LOGIN");//创建返回的result对象
            //手动转换 对象--json --------> 阿里巴巴fastJSON
            String notLogin = JSONObject.toJSONString(error);
            resp.setContentType("application/json;charset=utf-8");
            resp.getWriter().write(notLogin);
            return;
        }

        //5.解析token,如果解析失败,返回错误结果(未登录)。
        try {
            JwtUtils.parseJWT(jwt);
        } catch (Exception e) {//jwt解析失败
            e.printStackTrace();
            log.info("解析令牌失败, 返回未登录错误信息");
            Result error = Result.error("NOT_LOGIN");
            //手动转换 对象--json --------> 阿里巴巴fastJSON
            String notLogin = JSONObject.toJSONString(error);
            resp.getWriter().write(notLogin);
            return;
        }

        //6.放行。
        log.info("令牌合法, 放行");
        chain.doFilter(request, response);
西湫
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
session会话jwt会话实战及原理解析
qq_38639813的博客
02-27 218
一、session会话 二、springsession会话 1、代码 2、原理解析 三、jwt会话
kotlin-spring-boot-rest-jpa-jwt-starter:kotlinSpring引导2 restjpajwt入门
02-05
标题中的"kotlin-spring-boot-rest-jpa-jwt-starter"是一个项目名称,它结合了多个技术,用于构建基于Kotlin、Spring Boot、JPA、JWT的RESTful API服务。让我们详细了解一下这些技术及其在项目中的作用。 1. **...
会话中使用JWT
最佳 Java 编程
06-08 146
在黑客新闻,reddit和博客上,该主题已经讨论了很多次。 共识是–请勿使用JWT(用于用户会话)。 而且我在很大程度上同意对JWT的典型论点 , 典型的“但我可以使它起作用……”的解释以及JWT标准的缺陷的批评 。 。 我不会在这里重复所有内容,因此请阅读这些文章。 您真的可以使用JWT付诸实践,了解它很复杂,并且对于大多数用例来说几乎没有好处。 我猜对于API调用是有意义的,特别...
你能说出 Cookie,Session,Token,JWT 的区别吗 ?
Wu hao's blog
06-29 283
这篇文章是对于 Cookie,Session,Token,JWT 区别的一个总结: 前置知识 : 什么是 认证 ,授权,凭证? 认证 : 验证当前用户身份。 互联网中的认证 :用户名密码登录;邮箱发送登录链接;手机号接收验证码等。 授权 :用户授权第三方应用访问该用户某些资源的权限。 实现授权的方式有 :cookie,session,token,OAuth。 凭证 :实现认证和授权的前提是需要一种媒介(证书)来标记访问者的身份。 一般网站中,当用户登录成功后,服务器会给该用户使用的浏...
会话技术Jwt令牌
d456211的博客
06-20 187
全称:Json Web Token定义了一种简洁、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。组成:第一部分:Header(头):记录了令牌的类型和签名算法第二部分:Payload(有效载荷):携带自定义信息、默认信息第三部分:Signature(签名):防止Token被篡改、确保安全性,将header、payload加入指定秘钥,通过指定签名算法计算而来。典型应用场景:登录认证登陆成功后,生成令牌。
jwt同一会话_在会话中使用JWT
最佳 Java 编程
07-02 191
jwt同一会话 这个话题已经在黑客新闻,reddit和博客上讨论了很多次。 共识是–请勿使用JWT(用于用户会话)。 而且我在很大程度上同意对JWT的典型论点 , 典型的“但我可以使其工作……”的解释以及JWT标准的缺陷的批评 。 。 我不会在这里重复所有内容,因此请阅读这些文章。 您真的可以使用JWT付诸实践,了解它很复杂,并且对于大多数用例来说几乎没有好处。 我猜对于API调用是有...
react-redux-jwt-authentication-example:React + Redux-JWT认证教程和示例
02-05
在"react-redux-jwt-authentication-example-master"项目中,你可能会找到以下关键组件和文件: 1. `src/components` - 包含React组件,如登录表单、注册表单、受保护的路由等。 2. `src/reducers` - 存储应用状态...
sping-boot-shiro-jwt-redis-refreshtoken.zip
08-25
标题 "sping-boot-shiro-jwt-redis-refreshtoken.zip" 暗示这是一个关于Spring Boot、Shiro、JWT(JSON Web Token)以及Redis整合的项目,用于实现权限管理和安全认证,特别是涉及到Token的自动刷新功能。...
springboot-jwt-demo.zip
08-18
这个"springboot-jwt-demo.zip"项目提供了一个实例,演示了如何在SpringBoot应用中集成这两种技术实现用户登录认证和权限控制。以下是关于这些知识点的详细说明: 1. **SpringBoot**:SpringBoot是由Pivotal团队...
node-js-jwt-auth-postgresql
05-25
标题 "node-js-jwt-auth-postgresql" 暗示了这是一个关于使用 Node.js、JSON Web Tokens(JWT)以及 PostgreSQL 数据库实现身份验证的项目。在这个项目中,开发者将学习如何利用 JavaScript 的力量来构建安全的后端...
jwt同一会话_使用会话Cookie与 JWT身份验证
编程故事的地方
06-08 342
jwt同一会话 HTTP是一种无状态协议,用于传输数据。 它启用了客户端和服务器端之间的通信。 它最初是为了在Web浏览器和Web服务器之间建立连接而建立的。 让我们借助示例了解这一点: 假设我们在网上购物,我们添加一些商品,例如。 耳机到我们的购物车。 然后,我们继续寻找其他物品,在此期间,我们希望在执行任何其他任务时存储购物车物品的状态且不丢失它们。 这意味着我们希望在整个购物过程中...
HTTP---会话机制JWT( JSON Web Token)
qq591009234的博客
04-22 467
3.会话机制JWT( JSON Web Token)会话机制(翻译:令牌) 3.1.JWT是一个非常轻巧的规范 3.2.这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息 3.3.是服务端生成的一串字符串,作为客户端进行请求的一个标识,由三部分组成,它们之间用圆点(.)连接。 3.4.一个典型的JWT看起来是这个样子的:xxxxx.yyyyy.zzzzz 1.头部(Header):用...
JWT 会话管理
weixin_44157608的博客
08-29 396
JSON Web TokenJWT 结构生成密钥生成 token ,解析 tokenpostman 测试登录时生成 token解析token JWT 结构 头部:解密算法、令牌类型 直接 base64 编码 负载:数据 直接 base64 编码 签名:验证令牌是否有效 将前两部分拼接之后,加密处理,再base64编码 所以令牌的结构为: 头部.负载.签名 官网 可解析令牌,如果签名【第三部分】无效是无法获得令牌的内容的 注意的是,负载的数据虽然是经过base64编码,但也不能存放
JWT(JSON Web Token)令牌技术 会话跟踪技术
qq_56674917的博客
07-27 264
JWT(JSON Web Token)技术
聊一聊JWT与session
weixin_34153893的博客
12-28 189
前言 认证和授权,其实吧简单来说就是:认证就是让服务器知道你是谁,授权就是服务器让你知道你什么能干,什么不能干,认证授权俩种方式:Session-Cookie与JWT,下面我们就针对这两种方案就行阐述。 Session 工作原理 当 client通过用户名密码请求server并通过身份认证后,server就会生成身份认证相关的 session 数据,并且保存在内存或者内存数据库。并将对应的 ses...
会话跟踪技术——JWT令牌
最新发布
cl的博客
01-18 975
服务器会接收很多的请求,但是服务器是需要识别出这些请求是不是同一个浏览器发出来的。比如:1和2这两个请求是不是同一个浏览器发出来的,3和5这两个请求不是同一个浏览器发出来的。如果是同一个浏览器发出来的,就说明是同一个会话。如果是不同的浏览器发出来的,就说明是不同的会话。而识别多次请求是否来自于同一浏览器的过程,我们就称为会话跟踪。我们使用就是要。
jwt-token和session的会话保持
weixin_69282249的博客
04-27 667
1.jwt-token的会话保持 (1)会话保持 浏览器发送登录请求,通过算法,将用户的标识信息编码生成token返回给浏览器做本地存储,下次请求时将本地的cookie一起发送给服务器服务器通过解码token,获得用户的信息,完成认证 (2)优点 1.不占用内存 2.具有哈希加密的sinature,更安全 3.有利于服务器扩展 2.session会话保持 (1)会话保持 浏览器带着用户名和密码请求服务器服务器将用户信息保存在session中,并返回一个sessionid给浏
web会话跟踪以及JWT响应拦截机制
weixin_64704029的博客
08-13 703
http是无状态的,登录成功后,客户端就与服务器断开连接,之后再向后端发送请求时,后端需要知道前端是哪个用户在进行操作。
HTTP会话保持技术:Cookie、Session、Token、JWT
Happy_lifer的博客
05-08 1275
JWT 是 JSON Web Token 的缩写,JWT 本身没有定义任何技术实现,它只是定义了一种基于 Token 的会话管理的规则,涵盖 Token 需要包含的标准内容和 Token 的生成过程。
探索会话跟踪技术:cookie、session与JWT令牌应用
本文将深入探讨会话跟踪技术Java web开发中的三种主要实现方式:cookie、session以及JWT令牌。首先,我们将理解这些技术的概念及其在处理用户会话时的作用。 **1. Cookie** Cookie是一种小型的数据存储机制,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值